CATEGORII DOCUMENTE |
AUDITAREA SISTEMELOR INFORMATICE BANCARE
Obiective generale si Specifice
Disciplina isi propune sa asigure masteranzilor cunostinte specifice cu privire la auditarea sistemelor informatice bancare. Cuprinde tehnici si metode de auditare reprezentative, adaptate la caracteristicile sistemelor informatice bancare, activitatea de audit fiind permanent afectata de progresele din domeniul tehnicii de calcul si de utilizarea acesteia, pe scara larga, in desfasurarea activitatilor economice. Practica este directionata catre sisteme informatice bancare implementate intr-un numar mare de organisme economice care desfasoara activitati din domeniul bancar, modul de auditare al sistemelor informatice respective fiind, in fond, independent de domeniul economic in care sunt integrate.
La nivel de sinteza, sunt prezentate conceptele fundamentale si tehnicile de auditare a sistemelor informatice uzual folosite in procesul de audit al unui sistem informatic economic, inclusiv in auditarea sitemelor informatice bancare (caz particular de sistem economic).
CONTEXT GENERAL
Auditarea sistemului informatic bancar consta in verificarea si controlul activitatilor sistemului respectiv care este practic un caz particular de sistem informatic economic. Sistemul informatic economic fiind, la randul lui, un caz particular de sistem informatic, tehnicile si mecanismele de auditare a sistemelor informatice sunt valabile si pentru sistemele informatice economice, inclusiv pentru sistemele informatice bancare. De aceea, la nivel de sinteza se va discuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinzatoare.
Pentru a intelege procesul de audit al sistemului informatic bancar, ca sistem economic, trebuie facuta distinctie intre auditul activitatilor economice desfasurate in cadrul unui organism economic si auditul sistemului informatic utilizat de organismul economic respectiv, pentru evidenta activitatilor sale bancare.
Auditul activitatilor economice desfasurate de un organism economic urmareste:
evidentierea tuturor activitatilor economice desfasurate, prin inregistrarea corecta a acestora, pe documente de evidenta si control - suport de hartie sau format electronic;
efectuarea prelucrarilor asupra datelor rezultate din activitatile economice desfasurate, in conformitate cu regulile de gestiune interna ale acestuia, cu normele, reglementarile si legislatia in vigoare;
generarea tuturor rapoartelor si situatiilor necesare factorilor de conducere (managerilor) pentru a lua cele mai bune decizii;
determinarea valorii taxelor si impozitelor care trebuie platite, conform legislatiei in vigoare;
intocmirea corecta a declaratiilor financiare, in conformitate cu legislatia in vigoare.
Auditul activitatilor sistemului informatic, utilizat de un organism economic in desfasurarea activitatilor sale economice, urmareste;
asigurarea corectitudinii, completitudinii si preciziei datelor introduse in sistem, deoarece afecteaza rezultatele prelucrarilor efectuate de acesta;
asigurarea corectitudinii prelucrarilor efectuate asupra datelor introduse in sistem, in sensul ca rezultatele acestora respecta regulile de gestiune specifice organismului economic respectiv si legislatia in vigoare;
asigurarea corectitudinii si integritatii iesirilor sistemului, in sensul ca acestea sunt cele solicitate de managerii organismului economic respectiv si de organismele de control financiar;
asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru auditarea sistemului informatic respectiv.
Utilizarea sistemelor informatice in desfasurarea activitatilor lor economice si/sau pentru evidenta si controlul acestora ofera organismelor economice atat avantaje, cat si dezavantaje. Principalele avantaje oferite de utilizarea sistemelor informatice de catre organismele economice sunt:
imbunatatirea preciziei rezultatelor prelucrarilor, prin eliminarea erorilor umane care pot aparea intr-un sistem manual de prelucrare si prin procesarea uniforma a datelor, pe masura aparitiei acestora;
cresterea vitezei de procesare, prin prelucrarea automata a datelor si eliminarea timpilor de prelucrare manuala a acestora, oferind utilizatorilor informatiile solicitate, in momentul cand acestia au nevoie de ele;
eliminarea fortei de munca implicate in prelucrarea manuala a datelor, prin prelucrarea automata a acestora, folosind calculatorul;
sporirea volumului de informatii oferite utilizatorilor intr-un interval dat de timp, prin cresterea volumului de date prelucrat pe unitatea de timp determinata de prelucrarea automata a acestora;
sporirea diversitatii si complexitatii informatiilor oferite utilizatorilor, prin prelucrarea automata a datelor si folosirea caracteristicilor grafice ale echipamentelor si programelor disponibile.
Principalele dezavantaje oferite organismelor economice de utilizarea sistemelor informatice in desfasurarea activitatilor lor, economice sau neeconomice (stiintifice, de proiectare etc.), se numara:
posibilitatea aparitiei unor defecte hardware, care pot determina pierderea datelor si, implicit, imposibilitatea de obtinere, in timp util, a informatiilor bazate pe rezultatele prelucrarii lor; pentru diminuarea efectelor produse de defectele tehnice, fabricantii integreaza in echipamente protectii speciale;
posibilitatea aparitiei unor erori software, la nivelul programelor de aplicatie, care pot conduce la rezultate incorecte, neobservate de catre utilizator, deoarece acesta nu are control direct asupra prelucrarii datelor; pentru depistarea si eliminarea acestui tip de erori, proiectantii integreaza in programele de aplicatie protectii speciale;
posibilitatea virusarii programelor utilizate (software de sistem sau pentru dezvoltarea de aplicatii sau de utilizator), care poate determina pierderea sau alterarea datelor si/sau programelor, conducand astfel la imposibilitatea utilizarii lor; pentru eliminarea efectelor determinate de virusi se utilizeaza pachete de programe (software) antivirus, puse pe piata de producatori software specializati (Norton AntiVirus, MCAfee etc.);
posibilitatea de aparitie a unor erori de manipulare a datelor si/sau a programelor care poate determina pierderea si/sau alterarea acestora, insotita de prelucrari gresite, si, implicit, rezultate incorecte care pot trece neobservate atat de catre operator, cat si de catre utilizator, deoarece acestia nu au un control direct asupra prelucrarilor efectuate; pentru reducerea efectelor produse de neglijenta sau neatentia in manipularea datelor si/sau programelor se impun masuri adecvate de siguranta.
Prin urmare, capacitatile de prelucrare si precizia calculatorului nu asigura corectitudinea rezultatelor unui sistem informatic. Pentru verificarea rezultatelor prelucrarilor, la nivel de operator sau utilizator, sunt necesare tehnici si mecanisme speciale de audit, asistate sau nu de calculator, integrate sau nu in componentele sistemului de prelucrare automata a datelor utilizat.
Avantajele economice si informationale oferite de utilizarea sistemelor informatice in desfasurarea activitatilor lor sunt mult mai importante pentru organismele economice decat dezavantajele utilizarii acestor sisteme, motiv pentru care acestea prefera sa le foloseasca si sa ia toate masurile impuse de necesitatea eliminarii, reducerii sau compensarii efectelor dezavantajelor respective. Prin urmare, in conditiile in care organismele economice folosesc in activitatea lor sisteme electronice de calcul, economistii trebuie sa fie pregatiti sa lucreze intr-un mediu aflat intr-o continua schimbare, in care prelucrarile, evidentele si controlul se fac folosind de la sisteme informatice simple, formate dintr-un singur sistem PC (calculator personal pe care sunt instalate programele necesare si imprimanta), pana la sisteme informatice complexe, care includ retele de PC-uri si echipamente periferice interconectate (intranet, internet, telecomunicatii etc.). Pentru a fi competitivi, ei trebuie sa isi imbogateasca cunostintele cu informatii despre sistemele informatice folosite in mediul economic si despre auditarea acestora.
CONTROLUL INTERN INTR-UN SISTEM INFORMATIC
Pentru efectuarea controlului intern intr-un sistem informatic se folosesc masuri, metode si tehnici de verificare a corectitudinii rezultatelor prelucrarilor realizate in interiorul sau, cunoscute, in literatura de specialitate, sub denumirea de controale, mai precis controale de audit avand in vedere rolul lor in procesul de audit al sistemului informatic respectiv. Altfel spus, controlul intern intr-un sistem informatic se realizeaza cu ajutorul controalelor de audit.
Utilizarea unui sistem automat de prelucrare a datelor nu diminueaza importanta controlului intern realizat in vederea asigurarii corectitudinii rezultatelor prelucrarilor efectuate in interiorul acestuia. Aparitia si utilizarea sistemelor informatice determina insa folosirea unor masuri si metode de control specifice, care se adauga metodelor traditionale de auditare a sistemelor manuale si/sau mecanice de prelucrare a datelor, deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor operatiunilor corelate din cadrul unui organism economic impune utilizarea unor controale specifice pentru asigurarea protectiei datelor la pierderi sau alterari si pentru depistarea prelucrarilor eronate, efectuate in interiorul calculatorului.
In literatura de specialitate, controalele sistemelor informatice sunt clasificate in controale generale si controale de aplicatie
Controalele generale sunt masuri de protectie a echipamentelor, datelor si programelor care privesc toate componentele unui sistem informatic (hardware si software) si pot fi de urmatoarele tipuri:
- controale organizatorice: masuri organizatorice folosite pentru protectia la fraude, neatentie si/sau neglijenta;
- documentatie de sistem, folosita pentru verificarea functionarii sistemului, in conformitate cu cerintele utilizatorului, specificate in proiectul de executie;
- controale hardware (controale de echipament): masuri de protectie la defectiunile tehnice;
- controale de siguranta (echipamente si fisiere): masuri de protectie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamitati (apa, foc etc.).
Controalele de aplicatie sunt tehnici de control specifice, integrate in software-ul de aplicatie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea si protectia datelor stocate in sistemul respectiv si a rezultatelor prelucrarilor efectuate asupra acestor date. Se proiecteaza si se realizeaza o data cu fiecare sistem informatic. Principalele tipuri de controale de aplicatie sunt:
controale de intrare: masuri de asigurare a corectitudinii intrarilor sistemului;
controale de prelucrare: masuri de asigurare a corectitudinii prelucrarilor efectuate in interiorul sistemului;
controale de iesire: masuri de asigurare a corectitudinii iesirilor sistemului.
Majoritatea erorilor identificate in rezultatele finale ale prelucrarilor efectuate de sistemele informatice provin din software-ul de aplicatie (de utilizator) folosit sau din introducerea eronata a datelor. Din acest motiv, controalele de aplicatie joaca un rol major in asigurarea unui control intern eficient in sistemul informatic.
Controale organizatorice in sistemul informatic
Controalele organizatorice sunt metode si tehnici de organizare a activitatilor desfasurate de organismele economice, folosite pentru prevenirea pierderilor si/sau alterarilor de date determinate de frauda, neatentie si/sau neglijenta, in vederea asigurarii unui control intern eficient in sistemele de prelucrare a datelor utilizate de acestea. Principalele tipuri de controale organizatorice sunt:
definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor angajatilor pentru fiecare functie;
rotatia angajatilor pe functii si vacante obligatorii;
selectia angajatilor care au acces la echipamentele si programele sistemului informatic si acordarea unui spor de fidelitate.
Definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor si responsabilitatilor (raspunderilor) angajatilor pentru fiecare functie joaca rolul-cheie in asigurarea controlului oricarui tip de sistem informatic, deoarece protejeaza organismul economic impotriva pierderilor de date, care conduc la alterarea rezultatelor prelucrarilor. Pentru asigurarea unui control intern puternic intr-un sistem informatic folosit de un organism economic pentru eficientizarea activitatilor defasurate, nici un angajat nu trebuie sa aiba sarcina si raspunderea completa pentru efectuarea unei activitati. Operatia executata de o persoana trebuie verificata de o alta persoana, care indeplineste o alta sarcina, vizavi de activitatea respectiva. Separarea sarcinilor intre angajati diferiti asigura corectitudinea inregistrarilor de date (pe hartie sau suport magnetic) si a rapoartelor, protejand totodata organismul economic respectiv impotriva pierderilor de date determinate de fraude sau neglijente.
Schimbarile produse de utilizarea unui sistem informatic in organizarea activitatilor desfasurate de un organism economic trebuie sa urmareasca atat folosirea eficienta a echipamentelor si programelor componente ale sistemului informatic, cat si asigurarea unui control intern puternic in cadrul acestuia.
Trecerea de la prelucrarea manuala sau mecanica a datelor la prelucrarea automata a acestora permite unificarea activitatilor si integrarea functiilor dintr-un domeniu de activitate, deoarece un singur calculator poate executa, cu usurinta, toate operatiile corelate din cadrul unui organism economic. Acest lucru este posibil, fara slabirea controlului intern, pentru ca un calculator programat corect nu are posibilitatea sau interesul sa ascunda erorile si de aceea poate efectua orice combinatie de functii considerata incompatibila de un control intern puternic intr-un sistem traditional de prelucrare a datelor (manual sau mecanic). Tinand cont si de faptul ca intr-un calculator programele si datele se pot modifica fara a putea fi observat acest lucru, se impune folosirea unor controale organizatorice compensatoare pentru asigurarea sigurantei programelor si a datelor in vederea obtinerii unor rezultate corecte ale prelucrarilor efectuate in interiorul sistemului informatic.
Pentru folosirea eficienta a fiecarui calculator din dotare, organismele economice combina si concentreaza functiile de prelucrare a datelor la nivelul unui compartiment specializat, numit departament de informatica sau centru de calcul sau centru de prelucrare automata a datelor. Daca functiile combinate si/sau concentrate la nivelul departamentului de informatica sunt considerate incompatibile din punctul de vedere al unui control intern puternic, se realizeaza controale organizatorice compensatoare la nivelul planului de organizare al departamentului informatic respectiv, deoarece intr-un sistem informatic programele si datele pot fi schimbate, fara a se observa modificarea lor. Planul de organizare al departamentului informatic trebuie astfel conceput incat sa previna interventia neautorizata a factorului uman in procesul de prelucrare automata a datelor, sa previna accesul neautorizat al personalului la echipamentele, programele sau datele sistemului informatic. Acest lucru poate fi realizat prin definirea clara a functiilor in departament si prin definirea si separarea clara a sarcinilor angajatilor pentru fiecare functie.
Structura organizatorica a fiecarui organism economic si numarul angajatilor de specialitate disponibili determina gradul de separare a sarcinilor legate de proiectarea si/sau realizarea si exploatarea unui sistem informatic. Ca un minim necesar, functia de programator, care necesita cunostinte detaliate despre programul de aplicatie folosit, trebuie separata de functia de operator, care detine controlul intrarilor in programul respectiv. Daca structura organizatorica a unui organism economic, care foloseste pentru evidenta si controlul activitatilor sale un sistem informatic, permite unui angajat sa realizeze atat sarcini de programator, cat si de operator, se slabeste controlul intern, existand permanent posibilitatea de frauda. Separarea activitatii de exploatare de cea de programare este foarte importanta din punct de vedere al asigurarii unui control intern eficient, deoarece un angajat care realizeaza ambele functii poate face schimbari neautorizate in programul sistemului informatic, producand fraude. Istoria fraudelor computerizate arata ca, de cele mai multe ori, persoanele implicate au intervenit in sistemul informatic, ca programator si operator, controland folosirea lui.
Daca structura organizatorica a unui organism economic permite accesul personalului de exploatare a sistemului informatic la activele organismului economic respectiv, se slabeste, in mod serios, controlul intern, in cazul in care nu sunt implementate masuri de control (controale organizationale) compensatorii. De aceea, organismele economice care folosesc sisteme informatice pentru evidenta computerizata a activelor trebuie sa limiteze, pe cat posibil, accesul personalului de exploatare la activele respective. Totusi, personalul de exploatare al unui sistem informatic poate avea acces direct si indirect la activele organismului economic gestionate folosind un sistem informatic. Auditorii trebuie sa stie ca, acolo unde personalul de exploatare a sistemului informatic are acces la active, frauda care implica utilizarea calculatoarelor poate fi mai mare decat in alte cazuri. Ca masura de control compensatorie se pot folosi documente si totaluri pe loturi, lista cu numarul de documente si totalul datelor semnificative pentru fiecare lot fiind pregatite in doua departamente diferite ale organismului economic respectiv, pentru compararea rezultatelor.
Rotatia, pe functii, a angajatilor care au legatura cu sistemul informatic implementat de un organism economic se face cu scopul de a evita schimbarile neobservabile de date si programe efectuate in calculator, fie din interes (frauda), fie din neatentie sau neglijenta. Planul de organizare al unui departament de informatica trebuie sa includa un mecanism de rotatie a sarcinilor si vacante obligatorii pentru angajatii sai, pentru ca schimbarea programatorilor sau operatorilor (intre ei) faciliteaza descoperirea modificarilor accidentale sau neautorizate de date si programe. Rotirea, pe functii, a angajatilor care se ocupa cu prelucrarea si evidenta datelor asigura un control intern eficient in orice tip de sistem de prelucrare si evidenta a datelor folosit de un organism economic, programelor din sistemele informatice corespunzandu-le in sistemele traditionale documentele scrise.
Selectia angajatilor care au acces la echipamentele si programele sistemului informatic folosit de un organism economic, precum si la datele vehiculate in cadrul acestuia, trebuie facuta pe baza unor criterii care elimina, pe cat posibil, posibilitatile de frauda si producerea erorilor din lipsa cunostintelor profesionale, din neatentie sau neglijenta; personalul de intretinere si exploatare trebuie ales cu grija, pentru a reduce posibilitatea de distrugere intentionata produsa de un angajat nemultumit. Principalele criterii de selectie a personalului care are legatura cu sistemul informatic sunt:
nivelul de pregatire profesionala dovedit prin: diplome de studii, pregatire teoretica si indemanare practica, experienta dobandita in timp (vechime in domeniu), calificative obtinute la locurile de munca anterioare etc.;
moralitate si seriozitate demonstrate prin: cazier judiciar, inscrisurile din documentele de angajare (frecventa si motivele de schimbare a locurilor de munca), recomandari de la locurile de munca anterioare si/sau de la alti specialisti in domeniu (profesori, colegi, cunostinte) etc.;
fidelitatea fata de organismul economic la care lucreaza.
Selectia atenta a personalului care se ocupa cu prelucrarea si evidenta datelor din cadrul unui organism economic este foarte importanta in realizarea unui control intern eficient, indiferent de tipul sistemului de prelucrare si evidenta a datelor utilizat (manual, mecanic, semiautomat sau automat). Planul de organizare al unui organism economic, cu sau fara departament de informatica, trebuie sa includa un spor de fidelitate pentru angajatii sai care lucreaza in domeniul informatic pentru a evita fraudele computerizate, greu de depistat si foarte periculoase pentru evolutia organismului economic respectiv.
Concluzie. Controalele organizationale joaca rolul-cheie in asigurarea unui control intern puternic in cadrul unui sistem informatic, in vederea prevenirii fraudelor, care au implicatii majore asupra evolutiei oricarui tip de organism economic. Ele sunt destul de eficiente in prevenirea fraudelor produse de un singur angajat, dar nu pot preveni fraudele in complicitate, foarte dificil de depistat. Daca un angajat-cheie al organismului economic conspira cu alti angajati in vederea comiterii unei fraude, controalele organizationale interne care se bazeaza pe separarea sarcinilor si rotirea angajatilor pe functii devin inoperante. Daca nu sunt descoperite in timp util, fraudele in complicitate conduc la falimentul organismului economic respectiv.
Documentatia sistemului informatic
Controlul intern eficient intr-un sistem informatic impune intocmirea si intretinerea unei documentatii care trebuie sa cuprinda:
- aprobarile pentru realizarea sistemului informatic initial si pentru toate modificarile ulterioare ale acestuia;
- documentatia completa, care sa descrie, in detaliu, sistemul informatic si procedurile folosite de acesta pentru prelucrarea si evidenta datelor.
Documentatia completa, bine intocmita, a sistemului informatic creeaza conditiile de asigurare a unui control intern eficient, prin faptul ca:
pune instructiunile de operare la dispozitia tuturor utilizatorilor si operatorilor sistemului informatic, pentru eliminarea, pe cat posibil, a erorilor de operare;
pune programele sursa la dispozitia programatorilor, pentru a crea posibilitatea de revizuire si adaptare ulterioara a sistemului informatic la nevoile de calcul si de control intern ale organismului economic respectiv;
pune logica de programare a sistemului informatic la dispozitia auditorilor, pentru a permite identificarea schimbarilor efectuate in sistemul informatic respectiv si a controalelor prevazute prin program.
Documentatia sistemului informatic trebuie sa cuprinda:
descrierea completa si inteligibila a sistemului de prelucrare a datelor, inclusiv a diagramelor de sistem;
descrierea naturii intrarilor si iesirilor;
descrierea operatiilor efectuate asupra datelor;
responsabilitatile pentru introducerea datelor, corectarea si reprocesarea datelor eronate, realizarea sarcinilor de control etc.
Documentatia completa a unui sistem informatic este formata din:
- Manualul de operare sau de utilizare, pentru uzul utilizatorului si operatorului, care contine instructiuni de:
pregatire date pentru prelucrare si introducere in sistem;
configurare si folosire terminale si echipamente periferice (monitoare, imprimante etc.);
intretinere programe componente si date stocate (inregistrate) in interiorul sistemului.
Documentatia programului care contine o descriere completa a fiecarui program component al sistemului informatic respectiv si care trebuie sa includa cel putin:
prezentarea, in detaliu, a obiectivelor fiecarui program;
diagramele logice si pasii importanti, pentru fiecare program;
lista si explicatia controalelor asociate fiecarui program;
descrierea modului de organizare si de arhivare a datelor;
exemple de iesiri, inclusiv liste de erori;
listing-uri de program, in limbaj-sursa;
manualul cu instructiunile de folosire, pentru fiecare program;
datele folosite pentru testarea si depanarea fiecarui program.
Documentatia completa a sistemului informatic este necesara analistilor de sistem, ingineri de sistem si programatori analisti, pentru depanare sau realizarea unor modificari. Operatorii calculatorului trebuie sa aiba acces numai la manualul de operare, care contine instructiunile pentru introducerea datelor in sistem si pentru prelucrarea acestora. Daca operatorii au acces la informatii de detaliu cu privire la software-ul de aplicatie utilizat, cresc probabilitatea si posibilitatea ca acestia sa efectueze schimbari neautorizate in programul respectiv, care stau la baza fraudelor computerizate, cele mai periculoase pentru un organism economic.
Documentatia completa a sistemului informatic utilizat de un organism economic este utila si auditorilor de sisteme informatice, pentru:
determinarea logicii de prelucrare folosite de sistemul informatic auditat, in vederea identificarii eventualelor erori de prelucrare produse in interiorul lui;
determinarea schimbarilor (modificarilor) efectuate in sistemul informatic auditat, dupa instalarea acestuia;
identificarea controalelor integrate in sistemul informatic auditat.
In plus, informatiile cuprinse in documentatia unui sistem informatic ajuta auditorii in dezvoltarea de teste sau programe generalizate de audit, necesare pentru testarea sistemelor de prelucrare automata a datelor utilizate de clientii lor.
Concluzie. Documentatia sistemului informatic este indispensabila utilizarii, dezvoltarii si auditarii acestuia.
Echipamentele digitale, componentele hardware ale sistemelor moderne de prelucrare automata si de evidenta a datelor au, din constructie, o precizie foarte mare si o fiabilitate foarte buna; prin urmare, toleranta de calcul nu produce erori in rezultatele finale ale prelucrarilor efectuate, iar defectiunile tehnice care determina alterari si/sau pierderi masive de date si programe sunt putine.
Pentru evaluarea corecta a fiabilitatii echipamentelor digitale utilizate la implementarea unui sistem informatic, in vederea prevenirii pierderilor (de date si programe) si reducerii erorilor (in rezultatele finale ale prelucrarilor) produse de posibilele defectiuni tehnice ale acestor echipamente, economistii, inclusiv auditorii, trebuie sa cunoasca controalele integrate de fabricant in fiecare tip de echipament, care sunt intalnite in literatura de specialitate sub numele de controale hardware.
Cele mai intalnite controale hardware sunt:
Ecoul consta intr-un semnal pe care echipamentul periferic il trimite (returneaza) catre unitatea centrala de prelucrare, daca a receptionat corect datele transmise de aceasta; prin ecou se verifica daca echipamentul periferic se comporta in conformitate cu instructiunile primite de la unitatea centrala de prelucrare.
Autodiagnoza consta in folosirea unor tehnici si proceduri hardware pentru testarea propriilor circuite; majoritatea echipamentelor moderne, care fac parte din sistemele de prelucrare automata a datelor, contin tehnici sau proceduri de autodiagnoza; exemplu: identificarea circuitelor de interfata sau modulelor de memorie defecte, inainte ca sistemul sa poata fi considerat valid, permitand astfel utilizatorului sa evite utilizarea unui sistem defect (Post- Power On Self Test).
Verificarea prin duplicare consta in realizarea fiecarei operatii de doua ori si compararea rezultatelor; in procesul dublu de verificare, cunoscut sub numele de citire dupa scriere, calculatorul citeste datele, dupa transferarea lor in sistem, si le verifica corectitudinea.
Verificarea paritatii consta in controlul sau verificarea paritatii intr-un sistem de calcul digital, modern, care prelucreaza datele in serii de biti (cifrele binare 1 si 0); controlul paritatii se face prin compararea valorilor bitului de paritate, calculate inainte si dupa un transfer de date, pentru a verifica daca biti de date s-au modificat pe durata transferului; bitul de paritate, care contine suma tuturor bitilor de 1(unu) pari sau impari, in functie de constructia fiecarui echipament digital, este adaugat de fabricant la bitii de date folositi pentru reprezentarea numerelor sau caracterelor alfanumerice transferate intre componentele unui sistem digital de calcul.
Concluzie. Asigurarea functionarii corespunzatoare a hardware-ului unui sistem modern de prelucrare automata a datelor, in vederea evitarii pierderilor sau alterarii de date si programe, determinate de aparitia unor defectiuni tehnice, impune nu numai folosirea controalelor hardware prevazute de fabricantul echipamentelor, ci si aplicarea unui mecanism de intretinere preventiva conceput de catre organismul economic care utilizeaza sistemul informatic respectiv. Auditorii de sisteme informatice trebuie sa cunoasca nu numai controalele hardware integrate de fabricanti in echipamente, ci si masurile de intretinere preventiva folosite, impreuna cu modul de aplicare a acestora.
Fiecare sistem automat de prelucrare a datelor trebuie sa dispuna de controale pentru asigurarea sigurantei:
echipamentelor componente (hardware), pentru a nu fi deconfigurate (accidental sau voit), descompletate si/sau distruse;
programelor si fisierelor de date, pentru a nu fi pierdute, alterate, distruse sau accesate de personal neautorizat; aceste evenimente se pot produce accidental sau voit.
Principalele tipuri de controale de siguranta utilizate pentru protectia unui sistem informatic sau a componentelor acestuia, hardware sau software, sunt:
Programarea sistemului de operare al fiecarui calculator
sa intocmeasca un jurnal al utilizarii tuturor echipamentelor periferice accesibile (ultimele utilizari); aceasta asigura identificarea momentului ultimei utilizari corecte si aparitiei primului incident in utilizarea fiecarui echipament periferic in parte;
sa emita un semnal de atentionare, daca se fac tentative de acces repetat in sistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor operatii care pot distruge datele sau pot genera anomalii in functionarea sistemului respectiv.
Accesul utilizatorilor in sistemul informatic pe baza pe nivele de acces si parola individuala secreta permite numai personalului autorizat sa utilizeze programele componente si datele stocate in sistem.
Crearea functiei de administrator al bazei de date pentru protejarea acesteia la accesul neautorizat, de catre organismele economice care utilizeaza sisteme informatice tip baza de date. Administratorul unei baze de date are sarcina principala de administrare a accesului la baza de date, deoarece, din punctul de vedere al controlului intern intr-un astfel de sistem, este foarte important ca baza de date sa fie protejata impotriva accesului neautorizat.
Programarea fiecarei componente a software-ului de aplicatie utilizat de sistemul informatic
sa emita un semnal de atentionare, daca se fac tentative repetate de acces (prin folosirea unor parole incorecte), daca se incearca efectuarea unor operatii care pot distruge datele sau pot genera anomalii in functionarea sistemului respectiv;
sa intocmeasca o lista a celor mai recenti utilizatori: nume, parola, data si ora accesului; aceasta permite identificarea momentelor cand s-au produs incidente si a utilizatorilor care, prin modul de operare, determina anomalii in functionarea sistemului informatic, pierderi sau alterari de programe sau date, cu scopul de a afla informatii legate de incidentele respective, in vederea stabilirii posibilitatilor de refacere a sistemului, si de se ridica dreptul de acces tuturor celor care nu-l exploateaza corect;
sa intocmeasca o lista cu ultimele operatii efectuate de fiecare utilizator; prin consultarea acestei liste se identifica operatia sau secventa de operatii care produce anomalii in functionarea sistemului informatic, pierderi sau alterari de programe si/sau date, in vederea efectuarii corectiilor care se impun.
Crearea unor copii de siguranta pentru toate componentele software utilizate de sistemul informatic (fisiere de date si programe etc.), lucru care permite refacerea acestora, daca sunt pierdute sau alterate. Din motive de securitate, copiile de siguranta se depoziteaza in locatii separate de original.
limitarea accesului, in aria de desfasurare a activitatii, numai pentru personalul autorizat; intrarile in locatiile destinate sistemului informatic trebuie sa fie controlate de agenti de paza sau activate pe baza de cartela de acces;
construirea locatiilor destinate sistemului informatic (camera calculatorului) din materiale rezistente la foc, deasupra nivelului probabil de inundatie si dotarea acestora cu aer conditionat, pentru a evita aparitia defectelor tehnice si a preveni deteriorarea suportilor magnetici de stocare a datelor si programelor (benzi sau discuri magnetice) prin asigurarea unei temperaturi si umiditati corespunzatoare in spatiul lor de functionare.
Concluzie. Fara implementarea masurilor de siguranta adecvate (controale de siguranta) nu este posibila asigurarea unui control intern eficient intr-un sistem informatic, deoarece acestea protejeaza la distrugere, alterare sau acces neautorizat atat sistemul, in ansamblul sau, cat si componentele acestuia.
Controlul intrarilor consta in tehnici de verificare a datelor primite pentru prelucrare, la introducerea acestora in sistemul informatic. Aceste tehnici, numite controale de intrare, permit introducerea in sistemul informatic numai a datelor care sunt autorizate, corecte si complete din punctul de vedere al evidentei si controlului activitatilor desfasurate in cadrul organismului economic sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv.
Autorizarea introducerii datelor in sistemul informatic prin implementarea unor controale de acces specifice care dau dreptul de autorizare numai:
- personalului departamentului la care s-a intocmit documentul de evidenta si control (suport material sau) pe care sunt inregistrate datele initial;
- personalului cu nivelul de acces corespunzator, pentru sistemele on-line in care datele se introduc direct, de la terminale aflate in locatii diferite, la distanta de sistemul de calcul in care sunt stocate si/sau prelucrate;
Validarea intrarilor consta in aplicarea unor tehnici de verificare a corectitudinii si completitudinii datelor, pe masura introducerii lor in sistemul informatic; aceste tehnici, controale de validitate, pot fi de urmatoarele tipuri:
test de limita: verifica corectitudinea datelor prin verificarea incadrarii acestora intre limitele (inferioara si/sau superioara) prestabilite pentru fiecare tip de date, pe baza regulilor de gestiune proprii organismului economic sau legislatiei in vigoare;
test de validitate: verifica autenticitatea datelor care se introduc in sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate intr-un tabel numit tabel master;
numar de autocontrol: verifica precizia unui numar la introducerea in sistem sau dupa ce a fost transmis de la un terminal la altul, prin memorarea unei informatii redundante;
mecanism de testare dubla: verifica corectitudinea unei date prin introducerea acesteia in sistem de doua ori, in mod independent.
Validarea intrarilor, prin aplicarea unor tehnici de verificare asupra datelor, la introducerea lor in sistem, asigura:
corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele de verificare, fiind rejectate toate cele care nu indeplinesc conditiile impuse de testele de verificare respective;
completitudinea datelor: sunt identificate datele care lipsesc si sunt solicitate, pana cand sunt introduse, intrucat absenta lor nu permite obtinerea rezultatelor sau evidentelor corecte pe care trebuie sa le ofere sistemul informatic utilizatorilor sai in vederea fundamentarii deciziilor sau pentru informare.
Concluzie. Intrucat majoritatea erorilor identificate in rezultatele finale ale prelucrarilor sau evidentelor efectuate de sistemele informatice provin din introducerea eronata a datelor, nu se poate asigura un control intern puternic in cadrul unui asemenea sistem fara implementarea unor controalele de intrare eficiente.
Controlul procesarii, care asigura fiabilitatea si precizia prelucrarilor efectuate asupra datelor introduse in sistemul informatic, consta in folosirea urmatoarelor tipuri de controale:
Controale de program, integrate in programul de aplicatie, care pot fi:
controale de intrare, implementate sub forma de controale de procesare: teste de limite, teste de validitate, numere de autocontrol, numar de inregistrari, totaluri etc.;
etichete externe: identifica in mod unic fisierele de date folosite in fiecare tip de prelucrari, pentru a preveni greselile de utilizare a acestora;
etichete interne care, impreuna cu etichete externe, previn greselile de utilizare a fisierelor de date in prelucrari.
Jurnale de activitate sau de prelucrare, care se pun la dispozitia personalului autorizat sau grupului de control din cadrul organismului economic sau Departamentului de informatica constituit in cadrul acestuia, daca exista, pentru analiza activitatilor desfasurate de sistemul de prelucrare automata a datelor, si care descriu:
activitatea fiecarui operator: secventa de operatiuni efectuate;
fiecare executie a programului (rulare).
Liste de erori, care se tiparesc in cazuri exceptionale, cand sistemul detecteaza erori grave si opreste sau nu prelucrarea. Listele de erori se transmit direct grupului de control al organismului economic care utilizeaza sistemul informatic respectiv, pentru investigatii si remedierea anomaliilor de functionare identificate. Dupa efectuarea corectiilor, grupul de control verifica corectitudinea prelucrarilor si eliminarea erorilor raportate de sistem.
Concluzie. Pentru asigurarea unui control intern puternic si eficient, controalele de program pun la dispozitia grupului de control al organismului economic, a utilizatorilor si/sau auditorilor unui sistem informatic, mecanisme de verificare a prelucrarilor efectuate in interiorul acestuia, compensand faptul ca nu da acces direct celor interesati la prelucrarile respective pentru a le verifica corectitudinea si/sau completitudinea. In plus, se impune, ca masura de control, monitorizarea activitatii operatorilor, cu scopul de a-i identifica pe cei care fac greseli si a le ridica dreptul de acces in sistemul informatic.
Controlul iesirilor consta in masuri si tehnici de verificare a corectitudinii rezultatelor oferite de sistemul de prelucrare automata a datelor utilizatorilor sai. Acestea pot fi:
Controale ale utilizatorului, care constau in:
compararea rezultatelor sistemului, prezentate sub forma de liste, rapoarte, situatii etc. cu cerintele definite de utilizator;
analize si teste efectuate de utilizatori specializati.
Controale de program, care analizeaza si testeaza automat corectitudinea iesirilor sistemului informatic in raport cu cerintele definite de utilizatori. Sunt mai eficiente decat controalele utilizatorului, pentru ca, fiind integrate in sistem, verificarile pe care le efectueaza se fac automat.
Controale ale grupului de control al sistemului informatic, care constau in masuri de verificare a iesirilor de catre personalul autorizat al organismului economic, cu sau fara departament specializat de informatica, care urmaresc:
distributia rezultatelor prelucrarilor sau evidentelor efectuate, prin sistemele de calcul componente ale sistemului informatic, numai catre utilizatorii autorizati;
analiza erorilor raportate de sistem, identificarea cauzelor de aparitie a lor si verificarea eliminarii acestora din sistemul automat de prelucrare si evidenta respectiv.
Concluzie. Scopul controlului intern intr-un sistem informatic il constituie verificarea corectitudinii rezultatelor prelucrarilor realizate in interiorul sau si distribuirea acestora, manual sau prin intermediul sistemului de prelucrare automata a datelor folosit, numai catre utilizatorii autorizati. Prin urmare, nu se poate vorbi de control intern intr-un sistem informatic fara controale de iesire, folosite de grupul de control al organismului economic, de utilizatori si/sau de auditori pentru a verifica daca sistemul informatic utilizat respecta cerintele utilizatorilor pentru care a fost proiectat si implementat.
Un control intern puternic si eficient impune utilizarea tuturor masurilor, tehnicilor si mecanismelor, denumite generic controale de audit, controale interne sau, mai simplu, controale, care servesc scopului urmarit si permit organismelor economice sa utilizeze in desfasurarea activitatilor lor economice, stiintifice, organizatorice etc. sistemele informatice, beneficiind astfel de avantajele majore oferite de acestea: puterea de calcul, de stocare (memorare), de evidenta si de prezentare grafica.
UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE
IN AUDITAREA SISTEMELOR INFORMATICE
Auditorii pot folosi pentru testarea si monitorizarea controalelor interne implementate intr-un sistem informatic asa-numitul sistem integrat de testare, care consta in integrarea unui set de fisiere de test, programe si date de test in sistemul informatic respectiv. Aceste fisiere de test permit ca datele de test pe care le contin sa fie prelucrate simultan cu datele reale, fara ca datele reale respective si rezultatul prelucrarii lor sa fie afectate. Datele de test, care cuprind toata gama imaginabila de date posibil a fi introduse in sistemul informatic respectiv, afecteaza numai fisierele de test si rezultatele prelucrarilor acestora. Sistemul integrat de testare poate fi implementat in toate tipurile de sisteme informatice, inclusiv in sistemele informatice on-line, in timp real.
Sistemul integrat de testare poate fi folosit de auditori si pentru monitorizarea prelucrarilor datelor de test in vederea studierii efectelor produse de prelucrarile efectuate asupra fisierelor de test, listelor de erori si iesirilor sistemului informatic. Ei comunica concluziile personalului autorizat sau grupului de control care efectueaza controlul zilnic.
Folosirea sistemelor integrate de testare prezinta riscul de manipulare eronata a datelor reale, prin transferarea lor in sau din fisierele fictive. Pentru eliminarea acestui dezavantaj, auditorii trebuie sa monitorizeze toate activitatile in fisierele fictive utilizate si sa impuna masuri riguroase de prevenire a accesului neautorizat la aceste fisiere. De asemenea, proiectarea unui astfel de sistem trebuie facuta cu atentie, pentru a elimina riscul ca fisierele reale sa fie contaminate intamplator cu date din fisierele fictive de test.
ConsideratiiLE auditorilor CU PRIVIRE
LA controlul intern intr-un sistem informatic
Indiferent de tipul sistemului de evidenta (gestiune) a activitatilor economice si de prelucrare a datelor folosit de organismele economice, auditorii trebuie sa efectueze un control intern, pentru realizarea caruia este necesar:
sa evalueze corect riscul de control (posibilitatea de existenta a unor erori care nu pot fi detectate);
sa determine natura activitatilor desfasurate de organismul economic auditat;
sa stabileasca tipul si amploarea activitatilor de audit necesare;
sa aprecieze timpul necesar pentru completarea auditului.
Pe baza celor stabilite in vederea completarii auditului, auditorii pot face organismului economic recomandari pentru imbunatatirea structurii de control intern. Indiferent de tipul sistemului informatic folosit de un organism economic, recomandarile pe care le fac auditorii cu privire la controlul intern se impart in patru categorii, corespunzatoare urmatoarelor patru tipuri de activitati:
planificarea auditului; pentru aceasta. auditorii trebuie sa inteleaga suficient de bine rolul controlului intern, modalitatile de realizare a acestuia si tehnicile de integrare a controalelor in sistemul de gestiune si prelucrare a datelor folosit de un organism economic;
reevaluarea riscului de control al sistemului informatic si modificarea corespunzatoare a testelor de evaluare.
Planificarea auditului si proiectarea controalelor (testelor) de audit
Planificarea auditului pentru un organism economic si necesitatea proiectarii de teste de audit eficiente solicita auditorilor sa aiba cunostintele de specialitate necesare intelegerii structurii unui control intern, indiferent de tipul sistemului informatic utilizat si de complexitatea acestuia.
Pentru planificarea auditului si proiectarea de teste de audit eficiente, auditorii trebuie sa aiba cunostinte despre:
procedurile si tehnicile de audit disponibile;
proiectarea si realizarea controalelor interne; trebuie sa stie ce se urmareste prin auditul intern si cum se poate realiza un audit complet;
sistemele de gestiune si prelucrare a datelor utilizate de organismele economice; trebuie sa cunoasca particularitatile fiecaruia, din punct de vedere al auditului;
tehnicile de integrare a controalelor interne in sistemele de gestiune si prelucrare a datelor disponibile;
natura activitatilor desfasurate de organismele economice: caracteristicile si particularitatile acestora, din punctul de vedere al auditului;
legislatia in vigoare.
Evolutia tehnologica a microcalculatoarelor de tip PC, din ce in ce mai performante si mai ieftine, a condus la aparitia si dezvoltarea continua a aplicatiilor software si, implicit, la utilizarea, pe scara larga, a sistemelor informatice bazate pe mediu PC. Practic, sistemele de gestiune si prelucrare a datelor clasice (manual sau mecanic) sunt pe cale de disparitie, fiind inlocuite de sisteme informatice. In aceste conditii, auditorii trebuie sa aiba cunostinte suplimentare de informatica, minimul necesar care sa le permita sa isi desfasoare activitatea de control.
Pentru a stabili natura, durata si amploarea activitatilor de audit, auditorul trebuie sa aiba suficiente cunostinte informatice pentru a face analiza procedurilor de prelucrare utilizate si a rezultatelor acestora.
Auditarea sistemelor informatice simple, care prelucreaza datele folosind algoritmi de calcul usor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe calculator. In acest caz, auditorii compara rezultatul prelucrarilor datelor de test, obtinut manual, cu cel obtinut folosind sistemul informatic auditat si analizeaza diferentele. Auditarea sistemelor informatice complexe impune insa folosirea procedurilor de audit implementate pe calculator si proiectarea unor teste suplimentare pentru controlul acestor proceduri.
Documentatia intocmita de auditor, asa-numitul raport de audit, variaza in functie de complexitatea sistemului informatic auditat. Pentru un sistem cu structura simpla de control intern, poate fi suficienta o descriere. De regula, insa, raportul de audit trebuie sa contina:
Diagramele Sistemului Informatic, care descriu activitatile desfasurate de sistemul informatic utilizat de organismul economic auditat si care pot fi:
diagrame de sistem: sunt folosite, in mod curent, in procesul de audit, ca tehnica de descriere a controlului intern; prezinta avantajul ca fac parte din documentatia standard a sistemului informatic, prin urmare nu mai trebuie intocmite de auditor;
diagrame de program: prezinta, in detaliu, logica unui anumit program folosit de sistemul informatic; auditorii care pot interpreta diagramele de program pot intelege si interpreta controalele continute intr-o anumita aplicatie software, folosita de Sistemul Informatic auditat.
Chestionare, special proiectate, pentru a fi folosite in procesul de control al sistemului informatic.
Concluzie. Proiectarea, realizarea si utilizarea tehnicilor de audit asistate de calculator impun auditorilor, pe langa cunostinte temeinice din domeniul economic, cunostinte suplimentare din domeniul informatic si din domeniul de activitate al organismelor economice de auditat.
Evaluarea riscului de control planificat si proiectarea de teste aditionale pentru controlul (testarea) procedurilor de audit
Riscul de control al unui sistem informatic reprezinta posibilitatea de existenta a unei erori care nu poate fi prevenita sau detectata in timp util de catre controlul intern al sistemului respectiv. Pentru a determina nivelul riscului de control planificat al sistemului informatic auditat, auditorii trebuie sa cunoasca si sa inteleaga:
mediul de control specific organismului economic care utilizeaza sistemul informatic auditat;
schimburile de date din cadrul organismului economic care utilizeaza sistemul informatic auditat;
procedurile de control intern implementate in sistemul informatic auditat.
Daca, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost evaluat ca fiind:
mare, atunci este admisa posibilitatea aparitiei unor erori nedetectabile de controlul intern implementat in sistemul respectiv; in aceste conditii, nu sunt necesare teste aditionale pentru verificarea procedurilor de audit utilizate;
scazut, atunci nu este admisa posibilitatea aparitiei unor erori nedetectabile de controlul intern implementat in sistemul respectiv; in aceste conditii, sunt necesare teste aditionale pentru verificarea procedurilor de audit utilizate.
In evaluarea riscului de control planificat pentru un sistem informatic, se tine cont de cerintele utilizatorului cu privire la precizia rezultatelor solicitate sistemului respectiv si de specificul domeniului de activitate gestionat cu ajutorul acestui sistem; daca cerintele de precizie impuse sistemului informatic nu admit posibilitatea aparitiei unor erori nedetectabile de controlul intern proiectat si implementat in interiorul acestuia, se impun proiectarea si implementarea unor controale de audit suplimentare pentru testarea (verificarea) controalelor de audit folosite.
Pentru testarea controalelor de audit integrate intr-un sistem informatic se folosesc proceduri de control cunoscute sub denumirea de controale aditionale de audit, care verifica daca controalele de audit descrise in documentatia de audit sunt implementate si functioneaza asa cum a fost prevazut in analiza de sistem.
Auditorii trebuie sa efectueze verificarea tuturor controalelor de audit pe care intentioneaza sa le ia in consideratie in evaluarea riscului de control aferent sistemului informatic auditat, indiferent de natura acestuia. Trebuie insa precizat ca unele controale aditionale de audit, folosite de auditori pentru testarea controalelor de audit integrate intr-un sistem informatic, depind de natura sistemului informatic auditat.
Proceduri de testare a controalelor generale. Testarea controalelor interne ale unui sistem informatic incepe cu testarea controalelor generale, deoarece eficacitatea unui control specific al unui sistem informatic este adesea dependenta de existenta unui control general, efectiv al tuturor activitatilor sistemului informatic auditat. Spre exemplu, verificarea programelor de testare a procedurilor de control, intr-un mediu in care programatorii pot efectua cu usurinta schimbari neautorizate in programe, este ineficienta in absenta unui control asupra modificarilor programelor, deoarece auditorii nu au nici o dovada ca programul testat este identic cu cel folosit de-a lungul timpului. In astfel de situatii, auditorii nu pot conta pe controalele aplicatiei in vederea evaluarii riscului de control.
De obicei, auditorii testeaza controalele generale ale sistemului informatic auditat prin analiza documentatiei de sistem si urmarirea indeplinirii sarcinilor de intocmire a acestei documentatii de catre personalul organismului economic respectiv:
obtinerea autorizatiilor de revizuire a sistemului informatic auditat;
intocmirea documentatiilor specifice sistemului informatic auditat;
obtinerea aprobarilor pentru realizarea sau achizitionarea de programe noi;
obtinerea aprobarilor pentru modificarea programelor existente;
completarea jurnalului cu defectiuni sau anomalii de functionare a echipamentelor folosite;
urmarirea masurilor de siguranta implementate etc.
Prin natura lui, un control general trebuie mai degraba respectat, decat determinat prin analiza documentatiei sistemului informatic auditat.
Proceduri de testare a controalelor de aplicatii. Procedurile folosite de auditori pentru testarea controalelor de aplicatie variaza semnificativ de la un tip de sistem informatic la altul si de la un tip de aplicatie componenta a sistemului informatic la alta.
Procedurile de testare a controalelor de intrare depind de tipul sistemului informatic auditat.
Tehnicile de audit folosite pentru testarea controalelor prelucrarilor pot fi manuale sau asistate de calculator. Pentru testarea controalelor prelucrarilor, auditorii:
examineaza procedurile de testare a sistemului informatic auditat, efectuate de catre grupul de control al organismului economic care il utilizeaza;
analizeaza rezultatele testarilor controalelor prelucrarilor sistemului informatic auditat, realizate de auditorii organismului economic care il utilizeaza;
examineaza rapoartele de erori si jurnalele de activitati generate de calculator; deoarece ele ilustreaza violarile controalelor de program care apar in timpul prelucrarilor, oferind astfel dovezi ale functionarii, corecte sau eronate, a acestora;
analizeaza si testeaza tehnicile, manuale sau asistate de calculator, folosite pentru explicitarea si explicarea incidentelor aparute in timpul prelucrarilor si inregistrate in rapoartele de erori, deoarece efectivitatea controalelor de program depinde de acest lucru.
Pentru testarea controalelor de program, auditorii folosesc, de regula, tehnici de audit asistate de calculator. Principalele tehnici de audit asistate de calculator folosite pentru testarea controalelor aditionale de audit sunt:
Seturi de date de test: pot fi stabilite de auditori sau de programatorii organismului economic care utilizeaza sistemul informatic de auditat; trebuie sa includa toate erorile semnificative care afecteaza evaluarea, de catre auditor, a riscului de control planificat pentru sistemul informatic de auditat;
Duplicate ale programelor sistemului informatic, cunoscute sub denumirea de programe controlate aflate sub controlul auditorilor; sunt folosite de acestia pentru a monitoriza prelucrarea datelor curente, prin compararea iesirilor acestor programe cu iesirile programelor originale sau pentru reprocesarea datelor initiale, folosind varianta proprie de program, cu scopul de a compara rezultatul curent cu cel initial sau de a descoperi schimbarile din programul organismului economic netrecute in documentatie; programele controlate ofera auditorilor posibilitatea de a testa programele organismului economic cu date reale si de test, fara riscul alterarii fisierelor acestuia si in locatii diferite de spatiile de exploatare, fara utilizarea calculatoarelor sau personalului organismului economic respectiv.
Programe de analiza, special elaborate, pentru a genera, folosind calculatorul, diagrame de analiza cu ajutorul carora se testeaza logica programelor componente ale sistemului informatic auditat si a controalelor acestora sau se verifica daca documentatia sistemului respectiv descrie programele si controalele programelor folosite de fapt.
Marcaje (identificatori) de urmarire a schimburilor de date, introduse in sistemul informatic, o data cu datele pentru urmarirea pasilor de prelucrare a schimburilor de date marcate si intocmirea listelor care contin descrierea, in detaliu, a pasilor de prelucrare respectivi, cu scopul de a depista eventualele actiuni neautorizate in programele si controalele programelor sistemului informatic auditat.
Programe de audit generalizat (aplicatii software pentru audit generalizat), care pot fi folosite de organismele economice specializate in auditarea sistemelor informatice complexe, pentru testarea fiabilitatii programelor si controalelor programelor componente unei game largi de sisteme informatice sau pentru realizarea unor functii specifice de audit.
Reevaluarea riscului de control si utilizarea testelor independente
Pentru a stabili in ce masura se pot baza pe controlul intern al sistemului informatic in reducerea posibilitatilor de aparitie a erorilor de functionare a acestuia, auditorii trebuie sa reevalueze riscul de control, pe domenii de activitate, si, pe baza acestuia, sa determine natura, locul, momentul de timp si amploarea testelor de control independente de sistemul informatic auditat, necesare in aprecierea corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor sai.
Din punct de vedere conceptual, evaluarea controlului intern al activitatilor unui sistem informatic nu este diferita de evaluarea altor aspecte ale sistemului. De obicei, sunt necesare mai putine proceduri de testare independente de sistemul informatic auditat, in acele domenii in care se admite un risc de control mare, si mai multe acolo unde se admite un risc de control redus. Pentru evaluarea corecta a controlului intern al activitatilor desfasurate de un sistem informatic, trebuie luate in considerare controalele folosite de utilizatori, de auditorii interni si de specialistii in informatica.
CONCLUZIE. Desi aparitia calculatoarelor si a aplicatiilor software specializate a creat unele probleme de adaptare pentru economisti, ea le-a largit orizontul de cunoastere si a extins gama si valoarea serviciilor pe care acestia le pot oferi. In timp, calculatorul a devenit o unealta folosita pentru realizarea sarcinilor de rutina, cu viteza si precizie fara precedent. El face posibil accesul la un volum de date care, in trecut, nu era accesibil din cauza limitarilor de timp si pret de cost. Daca organismul economic auditat isi tine evidentele folosind un sistem informatic complex si sofisticat, auditorii pot utiliza calculatorul si programe specializate in procesul de audit.
BIBLIOGRAFIE SELECTIVA
Boulescu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor Informatice Financiar- Contabile, Editura Tribuna Economica, 2005, Bucuresti.
stefan Popa, Claudia Ionescu- Audit in medii informatizate, Editura Expert, 2005, Bucuresti.
Ali Eden, Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004, Bucuresti.
Jack J. Champlain- Auditing Information Systems, Second Edition, John Wiley & Sons Inc., 2003, USA.
Victor Munteanu- Control si Audit Financiar Contabil, Editura LUMINALEX, 2003, Bucuresti.
MODALITATEA DE DESFASURARE A EXAMENULUI FINAL
Examenul final se sustine pe platforma BlackBoard sub forma de teste-grila.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 2023
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved